聲明

本文是學習360 企業個人信息合規思路與實踐報告 2021. 下載地址 http://github5.com/view/1273而整理的學習筆記,分享出來希望更多人受益,如果存在侵權請及時聯系我們

第二章 處理的原則要求

一. 合法、正當、必要

合法基礎 11 同意12

更多合法基礎，如履行合同所必須等參考最新個人信息保護法。

二. 原則拆解

《信息安全技術 個人信息安全規范》（GB/T 35273-2020）對合法、正當、必要原則的拆解如下：

(一 ) 權責一致

采取技術和其他必要的措施確保個人信息安全，就其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。

組織、制度、技術措施必須有，且有書面或其他形式的留存。

(二 ) 目的明確

具有明確、清晰、具體的個人信息處理目的。必須屬實且盡可能窮盡，避免功能調試超出原始目的，造成需要二次同意的局面，甚至被評定為未經用戶同意收集個人信息的后果。

(三) 公開透明

以明確、易懂、合理的方式公開處理個人信息的范圍、目的、規則等，并接受外部監督。必須有完備的隱私政策，告知清楚、全面，且不能用“等”、“例如”字樣。

(四) 選擇同意

應向用戶明示處理個人信息的目的、規則、范圍等征得用戶授權同意。一般所有用戶個人信息的處理行為都必須要明示、且經用戶明確同意。如業務認為有可不經同意的情形，必須經過公司合規評估部門的謹慎評估，必要情況需進一步咨詢監管部門。

(五) 最小必要

只處理滿足用戶授權同意的目的所需要的最少個人信息類型和數量，目的達到后應及時刪除。

(六) 確保安全

具備與風險匹配的安全能力，采取足夠的組織、制度、技術、管理等措施， 保護個人信息的保密性、完整性、可用性。

(七)主體參與

向用戶提供顯著的、易于操作的，訪問（查詢）、刪除、更正、撤回授權同意、注銷賬戶及投訴等方法途徑。一般能夠在產品界面完成的盡量做在產品界面，如產品界面難以實現的，提供有效的聯系溝通方式。

第三章 處理行為要求

一 . 收集

(一 ) 收集的合法基礎

告知、同意

企業應當向用戶告知收集、使用的目的、方式和范圍等規則，同時征得明示同意 （征得同意前不得收集個人信息或通過 Cookies 等同類技術或通過調用權限、接口等方式收集個人信息），15并告知不同意的后果；同時應將用戶主動點擊、勾選、填寫等作為功能開啟的條件，確保功能開啟后才可收集用戶個人信息16。

告知的內容： 應真實、準確、完整。例如，逐一列明功能、所收集的個人信息、權限等；當在強關聯的場景下，則說明個人信息收集的目的、方式、范圍、提供個人信息可能導致的風險、不提供的后果、處理行為與處理規則、保護措施、用戶權利、投訴、申訴、舉報的方式，采取要求用戶明示同意，并給予用戶撤回同意的渠道的方法。

明示同意： 在首次運行、用戶注冊時，通過彈窗、突出鏈接方式提醒用戶閱讀隱私政策；如果通過設置“下一步”“注冊”“登錄代表同意”等方式，應說明點擊或執行前述動作與同意隱私政策之間的關系。如點擊即代表同意本隱私政策等17。設置預選框的，由用戶自主打勾，而非提前默認已勾選。（此點仍需緊密關注最新監管執法要求）

將用戶的主動填寫、點擊、勾選等主動行為作為收集個人信息的前提。

告知、同意方案

多層次告知， 即采用一般告知、增強告知、以及即時提示三個層次來告知用戶。弱化隱私政策的授權同意機制，在產品過程中體現交互性告知，如通過彈窗、用戶提交、用戶主動點擊等方式；除一般告知外，個人信息處理關鍵規則應進行增強告知，比如將字體進行加粗、斜體化處理等；收集敏感個人信息時，需要做到即時提示，以明確告知收集的類型、目的、方式、范圍，確保用戶完全知情，且自主、具體、明確的同意。（收集敏感個人信息時，通過顯著方式告知目的，且目的明確、易懂；18）

收集個人生物識別信息 ，收集前單獨告知目的、方式、范圍、存儲時間等專門規則，并征得明示同意。

收集滿 14 周歲未成年人的個人信息前，征得未成年或監護人同意；未成年

人不滿 14 周歲的周歲的，只能監護人同意，且對監護人有適當的核驗。

【一般規則】：

• 合規最低要求為對收集的個人信息至少在隱私政策中說明。

• 收集面部識別、生理健康、銀行金融、行蹤軌跡信息 等敏感信息， 最好有單獨彈窗提示并讓用戶點擊同意；如果無法由用戶單獨點擊同意，至少有浮窗或者備注進行說明。

• 所有行車記錄儀、掃地機、兒童手表、路由器 等物聯網產品、固件， 均需要在說明書中說明收集個人信息情況，同時采取如添加隱私政策二維碼等方式告知用戶關于個人信息處理活動等方面的內容。

• 所有行車記錄儀、掃地機、兒童手表、路由器等物聯網產品、固件， 如果連接家庭類 App，需在該等家庭類 App 個人信息保護政策中說明；如果沒有此類 App，則需在公司網站主頁個人信息保護政策中說明。

場景示例 1 – 一款智能家居產品（例如掃地機）可以通過手機 App 進行操作和功能控制，在用戶下載 App 后、注冊成為用戶前，應當通過個人信息保護政策告知智能家居產品收集處理個人信息的目的、方式、種類等。通過專門針對智能家居產品的個人信息保護政策或者鏈接到公司網站的一般個人信息保護政策，均為一般告知。在智能家居產品的說明書中還可以附上個人信息保護政策全文或者摘要，以便說明。

場景示例 2 -一款智能家居產品（例如智能門鎖）可以通過手機 App 進行操作和功能控制，在用戶下載 App 后、注冊成為用戶后，如果需要啟動指紋或者人臉識別開鎖功能，應當單獨彈窗提示用戶是否授權、告知具體的目的，以滿足法律要求敏感信息單獨告知并獲得用戶同意的要求。

場景示例 3 – 如一款購物App 在用戶訂單界面備注顯示“我們僅提供流水訂單號、商品名稱和交易金額給第三方支付機構以完成支付，我們不會從第三方支付機構獲取您的銀行卡號和密碼等信息。”同時， 在個人信息保護政策中申明“為了滿足反洗錢要求，我們可能會在滿足法律規定的條件下，分享您的賬戶信息、聯系方式、地址、所購買的商品名稱信息。”

再次告知、征得同意

當收集的目的、方式、范圍 等重要因素發生變化的，應當再次告知，。可采取等收集使用規則，并征得用戶同意。可采取更新隱私政策等收集使用規則的方式，并通過推送消息、郵件、彈窗、著重提示等方式提醒用戶閱讀發生變化的條款。

其他合法基礎

在以下情形下，不需要征得用戶同意20：

• 為訂立或者履行個人作為一方當事人的合同所必需；
• 為履行法定職責或者法定義務所必需；
• 為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；
• 依照本法規定在合理的范圍內處理已公開的個人信息；
• 為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息
• 法律、行政法規規定的其他情形。

(二 ) 收集的最小必要原則

收集個人信息的類型、開啟的權限應與實現產品或服務的業務功能有直接關聯（直接關聯是指沒有上述個人信息，產品或服務的功能在技術上無法實現）；

自動采集個人信息的頻率應是實現產品或服務業務功能所必需的最低頻率；

獲取個人信息數量應是實現產品或服務的功能所必需的最少數量；

開啟的權限數量應是實現產品或服務的業務功能所必需的最少數量。

(三 ) 禁止行為

不能非法收集

不能以欺騙、誘騙、誤導的方式收集個人信息；

不能隱瞞收集個人信息的功能；

不能從非法渠道獲取個人信息；

不應收集禁止收集的個人信息、不能大規模收集種族、民族、政治觀點、宗教信仰等敏感個人信息 ；

個人生物識別信息應單獨、顯著征求同意；僅收集和存儲摘要信息僅收集和存儲摘要信息，避免收集原始數據。

我國關于個人信息保護的規定包括強制性法律規定和推薦性標準規定，在收集和處理個人信息時，如果違反法律強制性規定，將直接導致個人信息收集和處理違法。例如，《網絡安全法》第四十一條要求運營者公開收集、使用規則，如果在 App 中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規則，將直接違反法律規定，可能受到的處罰包括主管部門責令改正，警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

不能違反收集的必要原則

不應收集的個人信息類型或打開的可收集個人信息的權限與現有業務功能無關；

不應因用戶不同意收集非必要個人信息或打開非必要權限拒絕提供業務功能；

App 新增業務功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業務功能，新增業務功能取代原有業務功能的除外；

收集個人信息的頻度等超出業務功能實際需要；在 App 未打開或處于后臺運行狀態時，不收集用戶個人信息， 除非該業務功能需要后臺運行時繼續提供服務，如導航功能等；

注：在用戶主動關閉 App 后，未經用戶同意，沒有較強必要性的情況下，不采用自啟動、關聯啟動方式收集 個人信息。

不得以改善使用體驗、提升服務質量，新產品研發**、增強安全性** 等為由強迫用戶同意個人信息的收集或權限的開啟22；（因文件規定不同，導致本條與強制捆綁部分有重合之處）

不得要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用

用戶可以拒絕與功能相關但非必要的個人信息收集或權限的打開，如確需要收集，應事先征得用戶的自主選擇同意；

其他業務功能所需個人信息或權限，不應作為本功能的使用前提條件； 瀏覽/游客模式 ，不因用戶拒絕提供其他個人信息或權限打開，而不能瀏覽。

• 用戶體驗改進計劃的修正 —在以“改善服務質量、提升用戶體驗、定向推送信息、研發新產品”為由收集個人信息時，需要在個人信息保護政策或者彈窗提示中具體描述改善的服務質量類別等，且確實與產品功能有關，不能泛泛地使用上述描述。例如，為了實現通話記錄管理、備份恢復、騷擾電話攔截等功能，不能僅說明“我們將為了改善服務質量，申請通話記錄權限組中的權限”，而是詳細說明“我們將為了測試、提高通話記錄管理、備份恢復、騷擾電話攔截功能， 申請通話記錄權限組中的權限”。應盡可能對應到具體的功能中去， 如保障賬戶或運營安全（并進一步展開描述）26。如為了實現本目的，需要由用戶自主選擇開啟或關閉。
• 收集IMEI 號、MAC 地址 等只能用于保障網絡安全或運營安全以外的目的27保障網絡安全或運營安全以外28（緊密關注《個人信息保護法》及時調整），且不能過早**（至少不應在同意隱私政策之前）**申請相應權限或收集相應個人信息29。如連接設備等基本功能在技術上只能依賴這兩個信息才能實現，需要進一步描述必要性。

不能強制捆綁

針對安卓端，建議 targetSdkVersion 值設置大于 26、不應小于 23。

企業不應通過聲明機制，在安裝 App 時要求用戶一次性同意打開多個可收

集個人信息的權限。同時，在產品設計和開發時，企業應當注意：

不得以改善用戶體驗、提升服務質量，新產品研發等為由強迫用戶同意個人信息的收集或權限的開啟；

不能捆綁強迫用戶接受某項或所有業務功能，不能一攬子征集所有授權、權限；

不能因用戶不同意某部分個人信息的收集，而拒絕提供所有服務或其他服務功能，或降低其他功能的質量，即使是基本功能所必要的；

關閉或退出業務功能的途徑與選擇使用的途徑方法同樣便利，用戶關閉或退出功能后應停止收集個人信息。

禁止未公開收集使用規則30

禁止未明示收集使用個人信息的目的、方式和范圍31

30《App 違法違規收集使用個人信息行為認定方法》第一條 未公開收集使用規則 ；

禁止未公開收集使用規則：

在 App 中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規則；

在 App 首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則；

隱私政策等收集使用規則難以訪問，如進入 App 主界面后，需多于 4 次點擊等操作才能訪問到；

隱私政策等收集使用規則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

禁止未明示收集使用的目的、方式和范圍：

未逐一列出 App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等；

收集使用個人信息的目的、方式、范圍發生變化時，未以適當方式通知用戶，適當方式包括更新隱私政策等收集使用規則并提醒用戶閱讀等；

在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解；

有關收集使用規則的內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業術語等。

禁止未經用戶同意，私自收集使用個人信息32

在用戶觸達特定功能前，不得申請預先收集個人信息或申請開啟相應權限，

32《App 違法違規收集使用個人信息行為認定方法》第三條 未經用戶同意收集使用個人信息

禁止未經同意私自收集：

征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限； 不應在征得用戶同意前，利用 Cookie 等同類技術、或私自調用可收集用戶個人信息的權限等方式收集個人信息

用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用；

實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍；

以默認選擇同意隱私政策等非明示方式征求用戶同意；

未經用戶同意更改其設置的可收集個人信息權限狀態，如 App 更新時自動將用戶設置的權限恢復到默認狀態；

利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；

以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；

未向用戶提供撤回同意收集個人信息的途徑、方式；

違反其所聲明的收集使用規則，收集使用個人信息。

實際收集的個人信息與隱私政策中聲明的應保持一致。

禁止頻繁征得同意

不得在用戶明確拒絕使用某類服務后，頻繁（每 48 小時超過 1 次） 要求用戶同意該服務33

在 App 未打開或處于后臺運行狀態時，不得收集用戶個人信息， 除非業務功能需要后臺運行時繼續提供服務，如在使用導航功能時。注：在用戶主動關閉 App 后，未經用戶同意不得采用自啟動、關聯啟動方式收集個人信息。

關聯啟動體現為打開手機安裝的某一個 App 軟件，其他 App 軟件同時被“喚醒”，在用戶沒有操作的情況下自啟動，主要存在于安卓系統，導致耗電量、流量使用增加、占用CPU 和內存資源、暴露于惡意代碼環境中等。關聯啟動主要用于消息推送和進程保活。例如，有的第三方推送 SDK 采用了聯合喚醒的機制，只要使用了同一家的 SDK，啟動其中一個 App 的時候就會喚醒其它所有集成了該家 SDK 的 App 推送進程，以保證所有 App 消息推送的送達率；用戶長久不使用的 App，無法顯示服務進程，一旦用戶選擇不主動打開App，就無法與用戶進行任何通信，影響日活率。

目前有的手機硬件廠商提供安卓系統中展示和關閉關聯啟動的功能。

2017 年，由工信部指導成立的包含了主流手機廠商和用戶基數大的 App 開發商組成的“安卓統一推送聯盟”，旨在推動各應用運營者能夠通過的統一推送服務的完成消息推送，各應用無需自己考慮消息推送的問題，把這

在用戶實際使用相應功能前，不得收集相應的個人信息，申請相應的權限。 僅當用戶用到功能時方可申請相應權限，彈窗或用戶主動填寫、用戶主動點擊選擇

場景示例：不得下載安裝前收集 MAC 地址等任何個人信息；不得提前申請權限，用到相應功能時方可申請相應權限。

個問題交由安卓系統層面去解決，從而避免自啟動、關聯啟動方式的濫用。詳見：安卓 App 通過“自啟動/關聯啟動”喚醒會造成用戶個人信息泄露嗎？

“關聯啟動”為用戶啟動某一個 App 時，該 App 帶動其他 App“自啟動”。根據開發者設計的關聯啟動觸發的組件不同，用戶可能感知或者無感知。例如觸發活動組件后用戶前臺可感知，觸發服務組件后臺運行用戶無感知。

(四 ) 我方身份

企業需要說明主體的基本情況（主體身份、聯系方式）。35通常，主體的選擇（即“xxx 公司”）會和用戶協議保持一致。

(五 ) 收集的數據類型

首先，企業需要判定、區分并顯著標識 （字體加粗、色彩區分等方式）個人敏感信息，判斷是否包含特殊數據類型，并進行特別的合規保護。例如， 是否包含生物識別信息、未成年人個人信息、宗教信仰、政治觀點、性取向、婚史、未公開的違法犯罪記錄、基因、疾病信息等。

(六 ) 收集來源方式

來源合法（見收集部分的“禁止行為”）

自主收集

通過產品或服務直接獲取。不得私自收集（一般指未經用戶的明示同意，彈窗、浮窗、文字備注等，未在隱私政策中充分說明。）

回傳。需要與產品和服務的功能緊密關聯，不必要的，不回傳。

抓取。注意要點：

限于合法公開渠道可獲取的，且避免敏感個人信息；考慮公開渠道的可靠性、準確性及安全性；

如非公開，抓取第三方的，必須事先獲得明確的、書面的授權，對用戶的授權進行必要核實并留存證明文件或痕跡；包括隱私政策、合同、承諾書、授權書、郵件往來、產品日志等；

考慮是否為被抓對象的重要商業利益數據，是否降低了被抓對象的競爭優勢，損害其利益；

不得侵入他人計算機信息系統的方式獲取，否則可能構成侵入計算機信息系統罪或非法獲取計算機信息系統數據罪；如一定要抓，須征得被抓對象事前的、書面、明確的同意。

間接收集（從第三方獲取）

一般情況，企業必須逐一列明所有第三方及收集使用的目的、方式、范圍， 以及與功能的強關聯性。

間接收集、處理的前提：以下需留存證明文件

應要求第三方說明其數據來源，并對其合法性進行確認；

應了解第三方已獲得的授權同意的范圍，目的、方式，是否允許轉讓、共享、公開披露、刪除等；

超出原授權范圍的，在獲取個人信息后合理期限（越早越好）內或處理個人信息前征得個人信息主體的同意，或通過第三方征得個人信息主體的同意。
從第三方獲取個人信息的具體情形，請見委托處理、共享、轉讓、公開披露、第三方接入等部分。

二 . 存儲

(一 ) 存儲的告知同意

隱私政策需要說明存儲的目的、方式、范圍、存放地域，存放期限以及超期處理方式39。

(二 ) 存儲地域范圍

原則

企業在境內運營活動中收集的數據應存儲在境內， 出境需要按法規要求評估，以《個人信息保護法》、《數據安全法》、《網絡安全法》等法規最新要求為準。

關鍵信息基礎設施運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲

因業務需要確需向境外提供的，需要依法經過評估。如何判斷企業是否為關鍵信息基礎設施，需要看關鍵信息技術設施相關法規細則或行業指導。

特殊領域的信息乃至所涉個人信息應存儲在境內，出境需主管部門評估

(三 ) 存儲形式

分類存儲、加密存儲

如沒有較強必要的，則不要明文存儲，企業必須采取必要的技術手段進行保護。

42 《中華人民共和國保守國家秘密法》。

43 《外商投資準入特別管理措施（負面清單）（2020 年版）》。

44 《風云氣象衛星數據管理辦法（試行）》。

45 《國家健康醫療大數據標準、安全和服務管理辦法》（試行）。

46 《中國人民銀行金融消費者權益保護實施辦法》。

47 《外商投資期貨公司管理辦法》。

48 《證券基金經營機構信息技術管理辦法》（2021 修訂）。

49 《征信業管理條例》。

50 《人口健康信息管理辦法（試行）》。

51 《人類遺傳資源管理暫行辦法》。

52 《網絡預約出租汽車經營服務管理暫行辦法》。

53 《地圖管理條例》。

備份存儲

企業應當提供本地數據備份功能，同時將備份介質進行場外存放，并具有異地數據備份功能。

應有以下不少于一種方式54：

應提供個人信息的本地數據備份與恢復功能，定期對備份數據進行恢復測試，保證數據可用性；

應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；

應提供重要數據處理系統的熱冗余，保證系統的高可用性。

(四 ) 敏感個人信息的存儲

企業應當做到對傳輸、存儲階段進行加密；

個人生物識別信息 55應與個人身份信息分開存儲，且僅收集、使用存儲摘要信息，在存儲時采取加密存儲。

原則上企業不應存儲原始個人生物識別信息（如樣本、圖像等），可采取的措施包括但不限于：

僅存儲個人生物識別信息的摘要信息；

在采集終端中，直接使用個人生物識別信息實現身份識別、認證等功能；

在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后，應刪除可提取個人生物識別信息的原始圖像。

(五 ) 匿名化

根據《個人信息保護法（草案）》（二次審議稿）以及《信息安全技術 個人信息安全規范》（GB/T 35273-2020）等，匿名化后的信息不屬于個人信息。匿名化信息是指經過處理無法識別 特定個人且不能復原的信息。匿名化信息和非匿名化信息分開存儲，防止重標識。

根據《互聯網個人信息安全保護指南》第 6.3 條，經過匿名化或脫敏的方式處理的個人信息數據可用于歷史、統計或科學目的，是指的信息。重標識 根據《互聯網個人信息安全保護指南》，經過匿名化或脫敏的方式處理的個人信息數據可用于歷史、統計或科學目的，可以超出與信息主體簽署的相關使用協議和約定，但應提供適當的保護措施進行保護；

根據《網絡安全法》以及第四十二條以及《民法典》第一百一十一條要求， 未經被收集者同意，不得向他人非法提供個人信息，但是經過加工無法識別特定個人且不能復原的除外。

《民法典》第 1038 條：未經被收集者同意,不得向他人非法提供個人信息,但是經過加工無法識別特定個人且不能復原的除外 。

《網絡安全法》第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

2008 年國際標準化組織（ISO）發布了健康信息假名化技術規范 ISO/TS

25237:2008(E)。該規范描述了如何使用假名化服務替換直接標識符，實現對隱私敏感信息的脫敏。

2018 年 ISO 和國際電工委員會（IEC）發布了 ISO/IEC 20889，規定了去標識化有關的術語、技術以及應用原則。在該標準中，常用的去標識化技術包括統計技術、密碼技術、抑制技術、假名化技術、泛化技術、隨機化技術和數據合成技術，常用的去標識化模型包括 K-匿名模型和差分隱私模型。

2014 年 4 月，歐盟“第 29 條工作小組” （Article 29 Working Party） 通過了《第 05/2014 號意見： 匿名化技術》（ Opinion 05/2014 on Anonymisation Techniques），專門分析了匿名化技術在歐盟數據保護法律框架下的有效性和局限性，并針對性地提出了建議。

在該意見中，匿名化技術主要包括隨機化和泛化，包括加噪(noise addition)、置換(permutation)、差分隱私(differential privacy) 、聚合(aggregation)、k-匿名化(k-anonymity)、l-多樣性(l-diversity)和 t-相近性(t-closeness)等技術。該意見解釋了這些技術的原理、優勢和可能存在的風險，以及使用每一項技術過程中常見的錯誤。其中，風險可分為直接識別風險、鏈接攻擊風險和推理攻擊風險。

場景示例 1-

	方法	描述	舉例
	屏蔽	對標識符數據項進行抑制處理，對其進行刪除或者隱藏。屏蔽可以針對整個數據項進行，也可以選擇對 數據項的一部分進行	屏 蔽 身 份 證 號 —— “440524188001010014”時，可選 擇 直 接 刪 除 ， 也 可 使 用 “440524********0014”代替

隨機使用隨機產生或分配的數據代替原來的數據項，隨機方法可以包括噪聲添加、完全隨機產生、數據項重排 置換等中文姓名使用隨機生成的姓和漢字表示，如使用隨機生成的 “辰籌獵”代替“張三豐”

	泛化	通過降低數據精度，使用概括、抽象的辦法表示原有的數據項。對于數值型數據項，可以使用取整、取最大 值等方法對數據進行泛化	如實數數據“1.732”可以泛化為“1”；如“張三”可泛化為“張某”
	加密	采用密碼學方法對數據項進行變換，包括對稱加密、非對稱加密和雜湊運算等。如果需要保留原有數據項的某些特性，還可以使用保序加 密或保留格式加密等算法	如身高“1.73”可以加密為“1.46”
歐盟關于匿名化指引見：第 29 工作組“關于匿名化技術的意見” 中國關于匿名化標準見：《信息安全技術 個人信息去標識化指南（征求意見稿）》
場景示例 2- 經過處理無法識別個人的信息屬于匿名化信息，需要采取技術措施防止重標識，重標識的方法包括：1）隔離：基于是否能唯一確定一個個人信息主體，將屬于一個個人信息主體的記錄隔離出來；2）關聯：將不同數據集中關于相同個人信息主體的信息關聯；3）推斷：通過其它屬性的值以一定概率推斷出一個屬性的值。58

(六 ) 去標識化

匿名化之外的去標識化，結合其他信息可以識別個人。去標識化，是指個

58《信息安全技術 個人信息去標識化指南（征求意見稿）》。

人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。59例如：假名、加密、哈希技術。而結合上文，相比下匿名化是指個人信息經過處理無法識別特定自然人且不能復原的過程。

二者的區別在于，匿名化的技術手段更徹底，對個人信息保護的程度更高， 經過匿名化的個人信息無法再識別到個人，但是去標識化后的個人信息在借助額外信息的情況下仍可再次識別到個人。從法律性質上來看，個人信息匿名化處理后不再屬于個人信息，而去標識化處理后仍屬于個人信息。從效果上來看，匿名化后的個人信息不再是個人信息，直接對外提供更多需要滿足商業上的要求；而去標識化是個人信息處理者內部對個人信息安全的一種保護手段。個人信息雖去標識化后仍屬于個人信息，需要滿足知情同意規則或其他個人信息處理合法性基礎。60

常見的去標識化技術與模型包括：

統計技術，是一種對數據集進行去標識化或提升去標識化技術有效性的常用方法，主要包含數據抽樣和數據聚合兩種技術。

密碼技術，包括確定性加密、保序加密、保留格式加密、同態加密 、同態秘密共享。

抑制技術，即對不滿足隱私保護的數據項刪除，不進行發布，包括 屏蔽、局部抑制和記錄抑制。

假名化技術，是一種使用假名替換直接標識（或其他準標識符）的 去標識化技術，包括獨立于標識符的假名創建和基于密碼技術的標識符派生假名創建。

泛化技術，是指一種降低數據集中所選屬性顆粒度的去標識化技術，
對數據進行更概括、抽象的描述，包括取整、頂層與底層編碼。

隨機化技術，指通過隨機化修改屬性的值，使得隨機化處理后的值 區別于原來的真實值，包括噪聲添加、置換、微聚集和數據合成技術。

數據合成技術，是一種以人工方式產生微數據的方法，用以標識預 定義的統計數據模型。

（8）K-匿名模型，是在發布數據時保護個人信息安全的一種模型，要求發布的數據中，指定標識符屬性值相同的每一等價類至少包含K 個記錄，使攻擊者不能判別出個人信息所屬的具體個體，從而保護個人信息安全。

差分隱私模型，是針對數據隱私泄露問題提出的一種隱私定義，可 以用來在數據采集、數據處理和數據發布中對數據集的隱私損失進行度量。差分隱私確保數據集中任何特定個人的存在與否無法從去標識化數據集或系統響應中推導出。

目前，《信息安全技術 個人信息安全規范》（GB/T 35273-2020）中多處提及要求個人信息控制者對個人信息去標識化以降低個人信息安全風險。例如，個人信息控制者在收集個人信息后，宜立即去標識化處理 ，并采取技術和管理方面的措施，將可用于恢復識別個人的信息與去標識化后的信息分開存儲并加強訪問和使用的權限管理。61

《信息安全技術 個人信息去標識化指南（征求意見稿）》就如何去除個人信息身份標識也給出了指導，對《信息安全技術 個人信息安全規范》（GB/T 35273-2020）形成配套和支撐作用，幫助公司在保護個人信息的安全的同時促進數據的共享開放。而 2021 年新發布的《信息安全技術 個人信息去標識化效果分級評估規范（征求意見稿）》基于標識個人身份程度給出一種個人信息分級劃分，用于去標識化效果評價，也可用于進一步落實個人信息的分級保護，對《信息安全技術 個人信息安全規范》（GB/T 35273-2020） 和《信息安全技術 個人信息去標識化指南（征求意見稿）》形成了輔助作

用。62收集后，宜立即去標識化處理 ，并采取技術和管理方面的措施，將可用于恢復識別個人的信息與去標識化后的信息分開存儲并加強訪問和使用的權限管理。63

場景示例- 在用戶下載App 后首次登錄時，需要用戶提供手機號碼以完成注冊，一種方法為用戶主動輸入手機號碼，一種方法為系統自動識別出手機號碼，然后由用戶主動點擊確認。在第二種情況下，應當對用戶登錄使用的手機號碼做掩碼處理，例如 139XXXX1234。

場景示例 2- 在收集用戶的年齡信息后，通過泛化技術，將具體年齡展示為年齡段。如某用戶的實際年齡為 35 歲，經過泛化處理后，顯示為 30-40 歲。

(七 ) 存儲的期限要求

存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間，法律法規另有規定或者個人信息主體另行授權同意 的除外。

存儲期限的總體要求為，不能超過處理信息所必需的最短時間。不需要使用個人信息后，應當刪除個人信息。如果產品停止服務，一般應當立即刪除個人信息；如果用戶注銷賬號，可以在合理時間（例如存留 30-60 日， 實踐做法）內刪除，以便在用戶誤刪的情況下可以找回數據。云盤存儲類 可適當延長，給用戶留充足的下載轉存時間，并明確告知用戶。

示例三種表述方式：相關法律法規規定的最短期限內/不超過相關法律法規規定的最短期限/明確說明具體時間長度。

62《信息安全技術個人信息去標識化效果分級評估規范（征求意見稿）》。

場景示例-

法律法規對存儲時間另有規定的，應當遵守：

• 留存網絡日志 不少于六個月（《網絡安全法》）；
• 自動駕駛路測 車輛事故或失效狀況發生前至少 90 秒的數據存儲時間不少于 3 年，這些數據包括外部 360 度視頻監控情況、反映測試駕駛人和人機交互狀態的車內視頻及語音監控情況等信息。向自動駕駛企業提供錄音錄像設備且存儲數據服務，需要按照客戶的要求滿足存儲時間規定。（《智能網聯汽車道路測試管理規范（試行）》）；
• 電子商務平臺應當記錄、保存平臺上發布的商品和服務信息、交易信息，交易信息保存時間自交易完成之日起不少于 3 年。（《電子商務法》）；
• 網絡直播服務提供者對網絡交易活動的直播視頻保存時間自直播結束之日起不少于三年。（《網絡交易監督管理辦法》）；
• 互聯網服務提供者（如互聯網網絡接入、互聯網信息服務、域名注冊和解析等服務提供者）對用戶的真實身份信息應當在提供服務期間同步保存，并在停止服務后保存至少兩年以上。（《互聯網信息服務管理辦法（修訂草案征求意見稿）》）；
• 面向中小學生、利用互聯網技術實施的學科類校外線上培訓的培訓內容和培訓數據信息須留存 1 年以上，其中直播教學的影像須留存至少 6 個月。如果公司視頻業務為培訓機構提供存儲服務 ，雖然不需要直接遵守教育部的規定，但是需要根據客戶要求滿足存儲期限的規定。（《教育部等六部門關于規范校外線上培訓的實施意見》）；
• Facebook 與美國聯邦貿易委員會在“劍橋分析”案最終達成的和解協議中，關于個人信息刪除的約定如下：（1）最長在用戶終止、刪除信息或者賬戶后 30 日內，Facebook 應停止第三方訪問用戶刪除

(八 ) 超期處理方式

企業應當做到當超期時對個人信息進行刪除或匿名化處理。64此處匿名化是否絕對妥當，需要進一步見最新相關法規要求，且依據必要性進行分析。

三 . 使用65

(一 ) 告知同意

告知同意形式參考收集部分。

訪問控制措施

企業應當建立權限管理制度，設置重要操作審批流程（如批量修改、拷貝、下載等）；

企業應當做到安全管理人員、數據操作人員、審計人員角色分離設置；

員工 只能訪問其職責范圍內最小、必要的個人信息，僅具備完成職責所需的最少權限；確需超權的，應經個人信息保護責任人或個人信息保護工作機構進行審批，并記錄在冊；

針對敏感個人信息，企業還應按業務流程的需求觸發操作授權， 如收到投訴后，負責處理的人員才可訪問該投訴客戶的相關信息。
(二 ) 展示限制

展示必須具有較強必要性，盡可能采取去標識化等處理措施，防止泄露。

(三 ) 目的限制66

企業收集使用個人信息不應超出原始目的范圍，確需超出的，應再次征得同意；加工生成的個人信息，能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的仍為個人信息，應遵守收集時的授權

66 原始目的范圍，需要明確、具體、清晰，增加功能不一定超出原始目的，需要具體分析。

同意范圍。同理，加工生成個人信息為敏感個人信息的，按個人敏感信息保護。

(四 ) 用戶畫像的使用限制67

告知：在隱私政策中明確告知畫像情況，說明應用場景和對用戶的影響；

內容禁止： 不得包含不良信息、違法信息 68；不應侵害他人合法權益；不應危害國家安全、榮譽和利益，煽動顛覆國家政權、推翻社會主義制度，煽動分裂國家、破壞國家統一，宣揚恐怖主義、極端主 義，宣揚民族仇恨、民族歧視，傳播暴力、淫穢色情信息，編造、傳播虛假信息擾亂經濟秩序和社會秩序；

除目的必須之外，應消除明確身份指向性 ，避免精確定位到個人；

盡量使用間接用戶畫像，是否使用直接用戶畫像，具體用途，應當在

67《信息安全技術 個人信息安全規范》（GB/T 35273-2020）。

68《網絡信息內容生態治理規定》。

隱私政策中明確告知。如個人信用評價可使用直接畫像，推送廣告則使用間接畫像；

經過分析后的數據如可定位到個人，則應遵守個人信息保護的所有要求。

場景示例-

• 根據法律規定，使用用戶畫像等方式自動化處理數據后，向用戶推送信息或者廣告 ，應當同時提供不針對其個人特征的選項，或者向個人提供拒絕的方式。69App 在功能設置中應當提供“關閉定向推送” 按鈕，用戶可以選擇退出使用其信息進行定向推送，**“關閉定向推送”按鈕可以在告知用戶情形下設置時間限制，例如 3-6 個月后自動開啟定向推送功能，用戶可選擇再次關閉（與最新監管要求保持一致）。**用戶關閉定向推送后，不能基于直接畫像（針對用戶個人）和間接畫像（針對與用戶及模糊相似群體，例如均為女性）推送廣告， **但是不影響全量推送廣告，**例如可以基于粗略地理位置向該區域所有人推送“周邊的服務”，或者分時間段推送某一類型廣告（例如國慶節前后推送酒店廣告）。
• 廣告推送需要標記“廣告”字樣并在右上角設 X 號，用戶可一鍵關閉。
• 通過自動化決策方式作出對用戶個人權益有重大影響的決定時，用戶有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。70

(五 ) 個性化展示的使用

企業應當顯著區分個性化展示和非個性化展示部分，包括但不限于標
注“定推”等字樣，或通過不同欄目、版塊、頁面分別展示等。71同時， 企業應向用戶提供不針對個人特征的選項，并允許用戶自行退出；72

企業向用戶提供電商服務，并根據用戶興趣愛好、消費習慣等提供商品或服務搜索結果的個性化展示的，應同時提供不針對個人特征的選項73；

企業向用戶提供推送新聞信息服務的，應提供直觀的退出或關閉個性化推薦的選項；用戶關閉或退出后，提供刪除或匿名化定推活動所需基于的個人信息的選項；

企業宜建立用戶對個性化展示所依賴個人信息（如標簽、畫像維度等） 的自主控制機制，保障用戶調控個性化展示相關程度的能力；即用戶可自由自主控制基于其哪些個人信息進行定向推送；

71 對比最新《信息安全技術 個人信息告知同意指南（征求意見稿）》的要求后，確定方案。

72 《工業和信息化部關于開展 APP 侵害用戶權益專項整治工作的通知》第

（二）條第 4 款。

73《信息安全技術 個人信息安全規范》（GB/T 35273-2020），），7.5 個性化展示的使用 基于個人信息主體所選擇的特定地理位置進行展示、搜索結果排序， 且不因個人信息主體身份不同展示不一樣的內容和搜索結果排序，則屬于不針對其個人特征的選項。

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-uJkqIHuY-1672487984988)(media/3eeb0f5c0efeff1620b449faff219b61.jpeg)]

場景示例 2-： Facebook 能在“廣告偏好”設置中，根據“你的興趣”、“廣告商和企業”、“你的資料”等類別，選擇關閉或開啟與其相關的個性化廣告推送。用戶還能在設置頁面中，了解到廣告主的目標受眾與被投放廣告的用戶間有怎樣的聯系。 [外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-2gvlpDXD-1672487984989)(media/daf861f334437824eda098fa93f461a1.jpeg)]

從執法層面來看，2020 年至今工信部的 12 次關于違法違規 App 的通報，涉及 88 款 App，違規點一般為“未向用戶提供個推退出功能”。因此，進行個性化推送商業廣告，企業74應提供退出按鈕或選項。

場景示例 1-以電子郵件發送廣告合規要求 75**：**

• 電子郵件地址屬于保密信息。用戶主動向公司提供的電子郵件地址不應泄露或轉賣給第三方，不能非法從第三方獲取電子郵件地址；
• 不能將采用在線自動收集、字母或者數字任意組合等手段獲得的他人的互聯網電子郵件地址用于出售、共享、交換，或者向通過上述方式獲得的電子郵件地址發送互聯網電子郵件；
• 不能故意隱匿或者偽造互聯網電子郵件信封信息；
• 發送廣告需要電子郵件接收者明確同意，明示其真實身份和聯系方式，并且提供顯著、簡便、免費的拒絕選項免費的拒絕選項； 如用戶拒絕接收廣告，除公司和用戶另有約定，不應再發送廣告

（不得更換名義后再次發送）76；

• 提供拒絕繼續接收的聯系方式，包括發送者的電子郵件地址，并保證所提供的聯系方式在 30 日內有效；

發送廣告需要在郵件標題信息前部注明“廣告”或者海外的注明“AD”字樣；

• 如果用戶向電子郵件服務提供者投訴，企業應當及時響應投訴；

企業應當記錄 電子郵件的發送或者接收時間、發送者和接收者的電子郵件地址及 IP 地址，保存六十日，協助電子郵件服務提供者和國家有關機關依法查詢。

場景示例 2-以電話或者短信發送廣告合規要求77： 不能發送違法信息； 電話或者短信發送廣告需要用戶明確同意，并且提供拒絕選項；如果用戶拒絕接收廣告，不應當再發送廣告。發送廣告之外的業務管理和服務類短信息不受此限制； 短信中寫明公司名稱、聯系電話，提供便捷和有效的拒絕接收方式并隨短信息告知用戶，不得以任何形式對用戶拒絕接收設置障礙； 發送廣告內容和用戶同意證明至少留存 5 個月。（關于用戶同意， 建議按一般民事訴訟時效時長留 3 年）

基于不同業務目的所收集個人信息的匯聚融合

企業應當遵循目的限制要求，就匯聚融合后的目的，開展個人信息安全影響評估 ，采取有效個人信息保護措施78，匯聚融合生成新的數據屬于個人信息或敏感個人信息的，遵循個人信息的保護原則與具體要求；匯聚融合的告知同意問題，需要進一步遵循《信息安全技術 個人信息告知同意指南（征求意見稿）》。如首要判斷匯聚融合是否超出原始目的。若超出原始目的的， 一般應當進行明確告知，征得明示同意。如生成新的個人信息，應當明示征得用戶同意等。

不同場景下的匯聚融合方案需要具體分析，仔細設計哪些信息可以匯聚融合、需要相應技術措施處理和保護等，哪些個人信息不可以匯聚融合，或

77《通信短信息和語音呼叫服務管理規定（征求意見稿）》。

78《信息安全技術 個人信息安全規范》（GB/T 35273-2020））7.6 基于不同業務目的所收集個人信息的匯聚融合。

不鼓勵匯聚融合的，如應謹慎的為“不應大規模收集的個人信息類型”。

信息系統自動決策機制的使用

企業需開展信息系統自動決策機制，如自動決定貸款額度、個人征信、面試人員自動篩選等，會對個人主體權益造成顯著影響的，應做到：

事先告知，增強式告知

在規劃設計階段或首次使用前開展個人信息安全影響評估；在使用過程中定期，至少每年 1 次個人信息安全影響評估；依據結果采取或改進有效保護措施；應提供投訴渠道，支持人工復核。

通過自動化決策方式作出對用戶個人權益有重大影響的決定，用戶有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。80

79《信息安全技術 個人信息告知同意指南（征求意見稿）》。

80《個人信息保護法（草案）》（二次審議稿）

四 . 共享、轉讓

(一 ) 原則不得共享、轉讓

嚴禁擅自共享，刑事風險。

共享：是指控制者向其他控制者提供個人信息，且雙方分別享有獨立控制權的過程。

轉讓：不保留數據，數據交給第三方。集團內的共享，一般稱為不同業務個人信息的匯聚融合，可見使用部分。

(二) 合法依據、理由

企業應當確保共享、轉讓行為具備足夠的合法性、必要性，同時遵循最小限度原則。

應開展個人信息安全影響評估

對受讓方的數據安全能力進行評估，確保受讓方具備足夠的數據安全能力， 并按照評估結果采取有效的保護個人信息的措施。

告知+明示同意

企業需對用戶做到明確的、顯著的告知，并獲得用戶明確的授權或明示同意，不得擅自共享；告知共享、轉讓個人信息的目的、規模、數據類型、范圍、接收方的類型、身份等信息；告知不同意的后果 ；與第三方簽訂書面合同，審核并確保安全，明確的權利、義務、責任劃分；設置有內部與外部管理流程，進行嚴格審核管理。

(三) 非因收購、兼并、重組、破產原因的共享、轉讓

針對非因收購、兼并、重組、破產原因導致的共享、轉讓行為，企業應當：

事先開展個人信息安全影響評估 +相應安全保護措施；

事先告知+征得授權同意 ；經去標識化處理且確保數據接收方無法重新識別或者關聯個人信息主體的除外81；

對于一般個人信息，做到告知目的、接收方類型/名稱、個人信息類型、可能后果等+明示同意82；

對于敏感個人信息，做到在前述基礎+敏感個人信息的類型、接收方身份和數據安全能力+明示同意；

個人生物識別信息原則不能共享、轉讓83 ；確需共享、轉讓，單獨告知目的、個人生物識別信息的類型、接收方的具體身份和數據安全能力等+征得明示同意。

合同約定接收方的責任和義務；

準確記錄 共享、轉讓各項情況，包括日期、規模、目的、接收方基本情況，告知同意情況，合同文本等；

81《信息安全技術 個人信息安全規范》（GB/T 35273-2020））9.2 個人信息共享、轉讓 b)。

82 授權同意，一般情況下就是明示同意。具體告知要點遵從**《個人信息保護法（草案）》（二次審議稿）** 的要求。

83 注意參考**《個人信息保護法（草案）》（二次審議稿）** 等法律法規及國家標準。

接收方違反法律法規、合同約定的，立即要求停止相關行為，采取或要求對方采取有效安全措施，控制或消除風險；必要時解除合同關系， 要求對方刪除獲取的個人信息；

擔責： 因共享、轉讓造成用戶損害的，如發生個人信息安全事件的， 個人信息控制者擔責。（誰是控制者，不同時間點的身份與責任變化， 最好合同提前約定）；84

配合個人信息主體的權利行使，了解接收方的存儲、使用情況等。

(四) 因收購、兼并、重組、破產原因的共享、轉讓

應事先告知；85

變更后的個人信息控制者履行原責任和義務；

如變更原使用目的的，應重新征得明示同意；

破產無承接方的，刪除數據。

(五) 記錄

企業應當記錄共享、轉讓的內容、日期、數據量、目的、數據接收方的基本情況等信息，留存合同文本及告知同意證據。

公開披露

(一 ) 原則不得公開披露

(二 ) 合法依據、理由

必須有較強的必要性；

事先開展個人信息安全影響評估 ，并采取有效保護措施；

事先經過明示同意 ，告知目的、類型，涉及個人敏感信息的還應告知具體內容。有例外86（注意參考最新個人信息保護法），即與個人信息控制者履行法律法規規定的義務相關的、與國安、國防直接相關的、與公共安全、公共衛生、重大公共利益直接相關的、與犯罪偵查、起訴、審判、判決執行等直接相關的、出于維護用戶或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的、用戶自行向社會公眾公開的個人信息、從合法公開披露的信息中收集個人信息的情形除外；

盡可能進行加密，匿名，假名等去標識化處理；防止泄露，造成危害。

禁止行為

企業不應擅自公開披露、發布個人信息，否則將承擔刑事責任風險；同時， 企業不應公開個人生物識別信息、基因、疾病等個人生理信息87、以及我國公民種族、民族、政治觀點、宗教信仰等個人敏感信息的分析結果。

記錄

企業應當準確記錄公開的情況，包括公開的日期、規模、目的、范圍等。

擔責

企業需要承擔因公開披露造成損害的責任。

委托處理

(一 ) 總體要求

合法前提是企業作為控制者作出委托行為，不得超出已征得同意的范圍88 ， 同時必須有較強的必要性，但是經過處理無法識別特定個人且不能復原的 除外。

禁止未經同意向他人提供個人信息，經過處理無法識別特定個人且不能復原的除外89

企業不得在既未經用戶同意、也未做匿名化處理的情況下，將數據傳輸至App 后臺服務器后，向第三方提供其收集的個人信息；App 接入第三方應用，未經用戶同意，向第三方應用提供個人信息。90

(二 ) 我方委托第三方

我方作為委托方，交付個人信息給被委托方，應對第三方進行監督，包括不限于：

事先征得用戶明示同意，顯著告知，并保留記錄并保留記錄；

不應超出我方征得用戶授權同意的范圍；

梳理相關產品中涉及的數據委托處理情況，包括第三方身份、共享及轉讓目的、涉及的個人信息類型、傳輸方式等。涉及嵌入或接入第三方插件（例如 SDK、API 等）的應當一并按上述維度進行梳理。

開展對第三方的盡調， 進行嚴格的審查核實，可由第三方提供保護個人信息的承諾書，確保被委托方的可靠性91；建立適當的數據安全能力，落實必要的管理和技術措施，防止個人信息的泄漏、損毀、丟失、篡改92；開展個人信息安全影響評估，確保受托方達到的數據安全能力要 求；

應簽訂關于個人信息保護的書面合同，約定我方和受托方的權利、義務及應承擔的責任范圍；規定清楚受托第三方的責任和義務；

對受托第三方進行審計；

要求受托方嚴格按照我方的授權處理的目的、范圍、方式等進行個人信息的處理，不得私自改變目的、范圍、方式等；

如我方改變目的、范圍、方式等超出原始授權范圍的，需要更新隱私政策，重新提醒用戶閱讀重新提醒用戶閱讀，再次征得用戶明示同意；

向受托方進行對個人信息數據的使用和訪問的授權；

受托方對個人信息的相關數據進行處理完成之后，應對存儲的個人信息數據的內容進行刪除；

準確記錄和存儲 委托處理個人信息的各種情況；

得知或發現第三方未按要求處理或未有效履行個人信息安全保護責任，

應及時要求對方停止相關行為，采取補救措施或要求第三方采取有效補救措施控制或消除安全風險。必要時，應終止委托，并要求第三方及時刪除所獲的的個人信息。（合同中可事先約定終止協議的條件 ）。

配合具體的案件證據調取 工作，需要企業刑事合規部門事先審核，有對方蓋章的正式文書。

我方作為受托方

我方作為受托方，接收委托人提供的個人信息，以下步驟留書面證據：

進行嚴格的審查核實，應了解委托方委托個人信息處理加工行為是否經過用戶明示同意，委托方已獲取的授權同意范圍，包括使用的目的， 個人信息主體是否同意轉讓、共享、公開披露、刪除等；

簽訂關于個人信息保護的書面合同，（第三方的承諾書，包括承諾經用戶明示同意且來源合法，對第三方所承諾的來源合法性應進行進一步的確認，數據安全能力，采取的安全保護措施，承擔的責任等）；

嚴格按照委托方的要求，授權處理的目的、范圍進行個人信息的處理，

不得私自改變目的、范圍；如有特殊原因無法做到，應及時向委托方反饋；

如我方改變目的、范圍，再次委托等超出合同或其他書面文件授權范圍的，需要及時再次事先獲取委托方的書面同意、確認已經個人信息主體同意 ；

協助配合個人信息主體所行使權利的實現；

如無法提供足夠的安全保護水平或發生安全事件，應及時告知第三方控制者；

委托結束后，及時刪除存儲的個人信息。

關于受托行為是否需要再經過用戶明示同意的問題： 首先，從控制者、處理者角色劃分，一般告知同意要求的對象是控制者。目前司法實踐等典型案例看，有三重授權的規則要求，即用戶授權委托方收集使用，委托方授權受托方處理，用戶授權同意委托行為。具體仍需根據最新發展形勢分析。

共同控制

如在與第三方合作中，與第三方為共同控制者，應簽訂書面合同確定雙方應滿足的個人信息安全要求及各方的責任與義務，并明確告知用戶；應承擔的如未告知第三方身份及各方應承擔的責任與義務，應承擔第三方引起的個人信息安全責任。93

注意： 如存在從客戶端直接向第三方發送個人信息的情形，包括通過客戶端嵌入第三方代碼、插件（如 SDK）等方式向第三方發送個人信息的情形， 需事先征得用戶同意，經匿名化處理的除外；如個人信息傳輸至服務器后， App 運營者向第三方提供其收集的個人信息，需事先征得用戶同意，經匿名化處理的除外。94

第三方接入（SDK）

此處為不屬于委托處理或共同控制的情況。

(一 ) 控制者的一般要求

接入第三方應用時，不私自截留第三方應用收集的個人信息；

如 App 接入第三方應用，當用戶使用第三方應用時，需在征得用戶同意后 ，再向第三方應用提供個人信息；當用戶獲知應用為第三方提供后，自行以主動填寫等方式向第三方直接授權的除外；96

App 運營者宜對于接入的第三方應用收集個人信息的合法、正當、必要性等方面進行審核，明確標識相關業務功能為第三方提供 ，并提醒用戶關注第三方應用收集使用個人信息的規則；97

說明第三方代碼、插件的類型或名稱，及收集個人信息的目的、類型、方式；98

建立第三方產品或服務接入管理機制和工作流程，必要時應建立安全評估等機制設置接入條件；

應與第三方產品或服務提供者通過合同等形式明確雙方的安全責任及應實施的個人信息安全措施；

應向用戶明確標識產品或服務由第三方提供；

應妥善留存平臺第三方接入有關合同和管理的記錄，確保可供后續查閱，記錄留存證據；

應要求第三方向用戶征得收集其個人信息的授權同意，必要時核驗其實現的方式，記錄 留存證據；

應要求第三方建立響應用戶權利請求和投訴等的機制；

應監督第三方產品或服務提供者加強個人信息安全管理，發現第三方未落實安全管理要求和責任，應及時督促整改，必要時停止接入；

（如第三方被監管部門通報下架時）

產品或服務嵌入或接入第三方自動化工具（如代碼、腳本、接口、算法模型、軟件開發工具包、小程序等）的，宜采取以下措施：

開展技術檢測，確保其個人信息收集、使用行為符合約定要求；

對第三方嵌入/接入的自動化工具收集個人信息的行為進行審計；

發現超出約定的行為，及時切斷接入。

關于第三方接入場景下如何告知同意： 從最新要求來看，此時告知同意的義務主體為控制者，因此判斷誰是控制者是前提。一般情況宿主一方即App 方為控制者，也有第三方自主控制或共同控制的情況，需要具體分析，并以各方責任身份來制定告知同意的具體方案。

支付機構從其他渠道可以獲得的按照反洗錢法要求必需提供的信息（例如，用戶本身為第三方支付機構的注冊用戶，其已經收集了用戶的身份證號碼、手機號碼信息）。

場景示例 2-行車記錄儀的第三方 物聯網下接入很多外部鏈接，例如行車記錄儀的信息分享功能，交罰單， 加油卡等，也屬于第三方接入，公司需要對外部鏈接的安全性進行審查， 在隱私政策中對接入的鏈接進行說明，要求第三方鏈接公布隱私政策。

SDK 的特別注意

常見 SDK

軟件開發工具包（Software Development Kit，簡稱 SDK）是指輔助開發某一類軟件的相關文檔、范例和工具的集合。第三方 SDK 是指由第三方服務商或開發者提供的實現軟件產品某項功能的工具包，通常不包括企業自己開發的僅供自己使用的通用功能模塊。常見的第三方 SDK 有框架

類、廣告類、推送類、統計類、地圖類、第三方登錄、社交類、支付類、客服類、測試類、安全風控類、Crash 監控類、人臉識別類、語音識別類、短信驗證類、基礎功能類等。

對使用第三方 SDK 的合規要求

應遵循合法、 正當、 必要的原則選擇使用第三方 SDK；

告知同意機制：

• 在個人信息保護政策中“間接收集個人信息的方式”部分,對使用第三方

SDK 的數量、SDK 及其提供方的名稱、第三方及其提供方的名稱、第

三方 SDK 會共享何等個人信息給予 App 平臺方。

• 在個人信息保護政策中“我們如何共享、轉讓、公開披露您的個人信息”部分，應當詳細說明所有嵌入的第三方 SDK 名稱及類型、第三方SDK 應當詳細說明所有嵌入的第三方名稱及類型、第三方主要實現的功能、收集用戶個人信息的內容、目的和方式、SDK 提供的用戶權利實現方式與投訴渠道以及對第三方 SDK 的安全管理措施。也可以在這部分簡要說明 SDK 的名稱等基本信息，詳情可通過超鏈接的方式鏈接到 SDK 隱私政策。
• 我方與第三方 SDK 在協議中所約定的角色，其收集、處理用戶個人信息的方式方法和所依據的正當性依據都將不同。一般情況，當第三方 SDK 作為數據處理者，以及第三方 SDK 為共同控制者但其存在對于用戶“無感知”、不能直接觸的情況下，我方 App 需要在彈窗頁或者我方 App 的隱私政策中介紹 SDK 的存在，并且需要代為其說明 SDK 收集用戶個人信息的情況，在用戶同意 App 隱私政策的情況下，我方 App 方可打開 API 接口或者為其啟動權限調取，讓第三方 SDK 收集信息；而當第三方 SDK 作為共同數據控制者，并且用戶是“有感知” 的情況下（如地圖類 SDK、登錄類 SDK、支付類 SDK 等），我方 App與第三方 SDK 需要分別獲取用戶同意。

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-1w9Dfoyy-1672487984990)(media/ea39714d2e2be957475064dbeda3e263.png)]

在集成第三方 SDK 前 宜對第三方 SDK 進行安全性評估，包括對 SDK 提供方基本信息等來源評估，對惡意代碼、安全漏洞等進行代碼安全性評估，對調用的敏感權限等進行行為安全性評估。安全評估應當定期進行，及時修復漏洞，使用最新的 SDK 版本；

使用提供者基本信息明確、溝通反饋渠道有效的 SDK；

對于使用的具有熱更新功能的第三方 SDK，宜對第三方 SDK 的熱更新內容進行內容校驗、動態檢測和安全評估，對于非官方的熱更新內容進行阻斷，對于發現問題的熱更新內容應及時停用；

對集成后的 SDK 進行持續動態監測或定期進行安全評估；

通過接口調用第三方 SDK 功能的，對接口增加鑒權機制；

與第三方 SDK 提供方通過合同等方式約定權利義務 ，明確第三方SDK 收集的個人信息類型、申請的敏感權限、個人信息的收集目的、保存期限、超期處理方式，各自應采取的安全措施，承擔的責任義務等；

停用某第三方 SDK 后， 及時從 App 中移除該第三方 SDK 的代碼和調用該第三方 SDK 代碼，存在通過本 App 共享或收集個人信息的，應敦促第三方 SDK 提供者按照合同約定，刪除從本 App 共享或收集的個人信息或做匿名化處理。

提供給第三方 SDK 的合規要求

下方內容可同時作為審核第三方 SDK 的內容參考：

收集使用個人信息和申請敏感權限應遵循合理、最小、必要原則；

對功能獨立的模塊，宜進行拆分或提供單獨的開啟關閉選項，允許App 提供者按需進行選擇使用或開啟關閉，不應強制捆綁無關功能并以此為由申請無關權限或收集無關的個人信息；

告知 App 提供者充分的信息，基本信息、溝通反饋渠道（需核實有效）、安全能力；如功能、版本號、隱私政策鏈接，申請的敏感權限與目的，建立的個人信息主體權利響應的機制，熱更新機制及開關方式、是否存在單獨收集用戶個人信息的界面、是否嵌入其他 SDK，是否向第三方共享個人信息；是否存在后臺自啟動、關聯啟動等行為；

有充足的安全技術措施；

作為個人信息共同控制者或獨立控制者收集使用用戶個人信息的

SDK，單獨向用戶告知收集使用個人信息的行為并征得用戶同意；

優先本地存儲，不存唯一識別碼或尋求可替代方案；

如必要，建立選擇退出機制“Opt-out”，用戶可選擇不使用SDK，在官網或隱私政策中提供便于用戶操作的退出鏈接；

完善合同，在停止接入后刪除或匿名化處理個人信息。

九 . 用戶的權利

用戶的權利包括以下方面：訪問（查詢）、獲取副本、更正、刪除、賬戶注銷、投訴、舉報100、撤回同意 、以及拒絕自動決策的重大權益影響。

查詢（訪問）、獲取副本、更正、刪除、注銷賬號

必須告知并提供訪問（副本）、更正、刪除、注銷賬號的有效功能、方便的

途徑。

查詢（訪問） 包括查詢用戶個人信息；該個人信息的來源、使用目的；查詢第三方接收者的信息（身份或類型）；是否必須實時查詢，需要參考最新法規要求（30 日以內或法律法規規定的期限內101）。盡可能在產品界面實現，方便用戶。

獲取副本， 應提供個人基本資料、身份信息、健康生理信息、教育工作信獲取副本的途徑，或在技術可行下直接將副本傳輸給用戶指定的第三方（類似部分數據可攜權）。收取紙質打印副本的成本價并未禁止。

更正、刪除，及時響應， 包括經用戶申請和自主維護，失去存儲必要性時及時刪除、注銷。15 個工作日內102完成核查和處理，后臺也需要同步完成處理。

應當主動刪除個人信息的情形103：

• 處理目的已實現或者為實現處理目的不再必要；
• 停止提供產品或者服務，或者保存期限已屆滿；
• 個人撤回同意；
• 違反法律、行政法規或者違反約定處理個人信息或者向第三方共享轉讓、公開披露個人信息；
• 法律、行政法規規定的其他情形。

以上情形下，若個人信息處理者未主動刪除的，個人有權請求刪除。

場景示例 1-獲取副本 應用戶請求，公司應當提供給用戶訪問個人信息和復制個人信息的權利，實踐中可以在產品界面直接設置用戶自主下載已提供的個人信息功能，也可以在用戶單獨請求時由公司提供，可以在隱私政策中提供客服電話或者電子郵箱。但是目前法律并沒有強制規定用戶可請求將信息以自動化方式轉移給第三方。

場景示例 2-刪除 用戶進行搜索產品申訴，要求刪除其個人信息的判斷方法： 如果用戶要求搜索產品刪除可以被用來檢索到自身的關鍵詞或者要求排除特定信息和自身的關聯性，公司需要判斷實際情況以決定是否滿足用戶請求： 該信息是否真實準確，信息內容是否合法； 該信息來源是否合法； 該信息是否是合法公開的信息或者用戶主動公開的信息； 該信息是否和新聞公眾事件或者公眾人物關聯不大。 如果滿足上述條件，均為“是”，搜索產品可以拒絕刪除；如果不滿足上述任何一項條件，搜索產品應當滿足用戶刪除請求。 如果符合刪除要求，原則從服務器同時刪除數據，可以在隱私政策中提供客服電話或者電子郵箱。具體從服務器的刪除時間需要依據法律法規要求。

注銷賬戶104

企業通過注冊賬戶提供產品或服務的，應提供注銷賬戶的方法，且方法需簡單易于操作；注銷賬戶過程需要身份核驗所需個人信息主體提供的個人信息不應多于注冊、使用環節收集的個人信息；需要人工審核的，應承諾在 15 個工作日內完成 核實和處理；注銷過程需要敏感個人信息進行核驗的，應明確處理措施，如達成目的后立即刪除或匿名化處理；注銷賬戶后， 應及時刪除或匿名化，依法需要留存的，不應再應用到產品或服務中。

禁止行為：

未提供有效的更正、刪除個人信息及注銷用戶賬號的功能；

為更正、刪除個人信息或注銷用戶賬號設置不必要或不合理條件,增 加個人信息主體的義務（如注銷單個產品或服務，視同注銷多個產品或服務。此處對同一賬戶問題 提出更高的要求，沒有獨立的賬戶體 系，可采取對該產品或服務賬號以外其他個人信息進行刪除，并切斷賬戶體系與產品或服務的關聯等措施實現105）；

雖提供了更正、刪除個人信息及注銷用戶賬號功能，但未及時響應用戶相應操作，需人工處理的，未在承諾時限內（承諾時限不得超過 15 個工作日，無承諾時限的，一般應以 15 個工作日為限）完成核查和處理；

注銷用戶賬號等用戶操作已執行完畢，但 App 后臺并未完成。

撤回同意

企業應提供方便撤回同意的途徑，易于操作 ，至少與同意同等難易，不能設置不合理條件。個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。106

104《信息安全技術 個人信息安全規范》（GB/T 35273-2020））8.5。

105 同上。

106《個人信息保護法（草案）》（二次審議稿）。

企業不應因用戶撤回同意而拒絕提供所有服務 ，除撤回同意無法提供強關聯功能外，其他功能仍需要提供；撤回授權同意后，后續不應再處理相應個人信息。

企業應保障用戶拒絕接收基于其個人信息推送商業廣告的權利，如設置退出個性化推薦廣告的按鈕。

如有對外共享、轉讓、公開披露的情況，企業應向用戶提供撤回授權同意的方法。撤回同意不影響撤回前做出的同意。

(三 ) 響應

企業需要向用戶提供權利請求途徑、投訴途徑、外部糾紛解決途徑，并做到及時響應。

目前《信息安全技術 個人信息安全規范》（GB/T 35273-2020）的響應時間除了注銷賬戶是要求做到 15 個工作日內處理，其他則是 30 天內；“在驗證

個人信息主體身份后，應及時響應個人信息主體提出的請求，應在 30 天內或法律法規規定期限內作出答復及合理解釋，并告知個人信息主體外部糾紛解決途徑107”。但是《App 違法違規收集使用個人信息行為認定方法》”更正、刪除、注銷賬戶 15 個工作日內完成和處理，后臺也需要同步完成處理。從優先性和保護用戶角度而言，應以 15 個工作日內為準，可以在產品界面實現的盡量在界面實現。

用戶權利限制

請參考告知同意的例外，但特定情況需要具體分析。同時請注意參考最新個人信息保護法律法規和國家標準。

場景示例-為訂立合同或履行個人作一方當事人的合同所必需

為訂立合同或履行個人作一方當事人的合同所必需收集的信息 ，這也意味著缺失該類信息我們產品和服務的基本功能無法在技術上實現。

當用戶在選擇繼續使用產品的同時，要求刪除前述信息，可以先行文字彈窗并說明理由 --例如“您使用 xxx 購買商品必須依賴您的收貨地址信息，用于給您寄送貨物，否則刪除所有收貨地址后您將無法收到貨物”-

-之后當用戶仍然選擇 刪除時，則僅可不提供依賴收貨地址的相關功能， 但如某產品有瀏覽模式（需區別于基礎功能模式），則不應因用戶刪除“收貨地址信息”而拒絕給用戶提供僅瀏覽的服務。

被收集信息的用戶必需是合同一方，而不能僅僅是使用服務的其他用戶；所收集的信息必需是實現業務功能在技術上所必需，不能是可有可無的信息。–如在出租車內安裝攝像頭，如果安裝攝像頭是履行合同為實現安全目的所必需的，用戶使用 App 叫車即表明同意攝像頭采集個人

信息；但是如果用戶使用 App 為他人叫車或者同乘，他人并非合同一方， 僅實際使用服務，在車內應當語音或者圖標提示攝像頭的存在。

(五 ) 投訴、舉報、申訴

企業應建立投訴管理機制和投訴跟蹤流程，公布個人信息安全投訴、舉報、申訴渠道，同時需要做到在 15 個工作日內受理并處理110。

產品的隱私政策中至少提供以下一種投訴渠道111：

• 電子郵件
• 電話
• 傳真
• 在線客服
• 在線表格

十 . 跨境傳輸112

應遵循最新相關法規依據。

(一 ) 合法依據

強必要性+依法評估

依據《網絡安全法》》要求，關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息應當存儲在境內。如需出境則必須依法評估，需要按照最新出境相關法規要求進行評估，并開展個人信息安全影響評估。

依據《數據安全法》，關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定；其他數據處理者在中國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定，企業應時刻關注相關的立法動態。

《個人信息保護法（草案）》（二次審議稿）提出，個人信息處理者因業務等需要，確需向境外提供個人信息的，應當至少具備下列一項條件：

（一）通過國家網信部門組織的安全評估；

（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；

（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準；

112 依據最新個人信息出境相關法律法規、國家標準，進行判斷分析。

（四）法律、行政法規或者國家網信部門規定的其他條件。

告知同意

企業需要增強式告知，經過明示同意，并標識在隱私政策中逐項列出并顯著標識，說明出境個人信息類型。

傳輸時，企業可以使用彈窗告知征得明示同意（我國《個人信息保護法（草案）》（二次審議稿）要求單獨告知同意，可利用彈窗附文案說明跨境的目的、涉及的個人信息類型等信息，由用戶自主點擊同意）。

具體做法及例外情況，需要參考不同國家最新的法律法規要求。

傳輸的數據類型合法

尤其是特殊類型的數據需要特別注意，如民族、宗教信仰、政治觀點，生物識別信息、基因信息等。

不應突破本地化要求

考慮到目前尚未看到“經明示同意”可以突破本地化的要求，收集和產生的

個人信息與重要數據113因此關鍵信息基礎設施收集和產生的個人信息與重要數據114，仍應存在境內，如確需跨境，必須按照最新法規進行評估，同時針對特殊領域則需按照法律法規要求做到本地化存儲（詳見存儲部分）。

(二 ) 接收方的可靠性

企業應對接收方的安全保護能力等進行詳細的盡調摸底，除接收方承諾外， 實際進行一定的檢測以核驗其保護能力是否屬實可靠。

(三 ) 各方責任、義務的劃分

企業可使用傳輸方/接收方模式，抑或是控制者/處理者模式。但必須有書面合同劃分清楚各方的責任、義務，并進行留存。

(四 ) 他國法律監管因素影響

充分了解他國法律監管情況，對現實和潛在風險進行把控。

關系協定)。 在海外銷售的智能硬件 數據回傳中國處理需要根據當地跨境傳輸的規則進行。

場景示例 2-歐盟數據怎么跨境 對于將歐盟用戶個人數據轉移至他國，《通用數據保護條例》（GDPR）第5 章有特殊要求，僅在滿足該等特殊要求的情形下，才可以將歐盟用戶的數據轉移至他國。該等特殊要求包括：1. 特別授權；2. 被列入歐盟認可的提供充足保護的名單中（除去美國，目前僅 12 個國家或地區。韓 國與英國正在推進充分性程序）；3. 控制者或者處理者提供適當的保障 措施（列舉了 6 種保障措施，包括由雙方簽署標準合同條款、采用有約 束力的公司規則等），以及為數據主體提供可執行的權利與有效的法律救濟措施；4. 特殊情形下的克減（包括個人明知仍同意、履行合同所必需、實現數據主體利益所必需、實現公共利益所必需等 7 項，此 7 種可 以直接傳出歐盟）；或者 5. 國際合作。 每種特殊要求有非常細致的具體規定，部分有很多限制性措施無法成為公司跨境轉移數據的常規措施，**其中比較常用的為第 3 點的適當的保障措施。**在上述措施之外，歐盟和美國曾經達成“隱私盾”，加入“隱私盾”的5000 家美國企業可以根據“隱私盾”將數據從歐盟傳輸至美國，但目前“隱私盾”已經被歐盟法院認定無效。

(五 ) 記錄全過程

企業應當詳細記錄跨境的全過程，包括從評估到最后執行，書面文件、技術措施等。

十一 . 未成年人與兒童保護115

(一) 需要保護未成年人和兒童的產品或服務

主要針對未成年人、兒童的產品、服務：

如未成年人、兒童益智游戲，相關平臺、插件、在線服務、聯網設備、玩具等；

被視為針對未成年人、兒童的產品、服務：

雖非主要針對兒童，但是網站或服務有以下內容—“網站或服務的主題、音視頻內容、使用動畫角色或其他針對兒童的活動和措施、模特年齡， 是否出現兒童偶像、或吸引兒童的名人，網站或服務上有針對兒童的 廣告，其他關于實際或預期受眾為兒童的證據”116；

我方應確保知曉，合作方通過我方收集兒童個人信息或我方通過合作方收集的兒童個人信息，如收集的兒童身份信息的情況。

未成年人與兒童的范圍

未成年人不滿 18 周歲。其中不滿 14 周歲的未成年人為兒童。117

兒童個人信息作為個人敏感信息加強保護

專門規則

14 歲以下周歲以下(含)兒童的個人信息屬于個人敏感信息118，應設置專門的兒童個人信息保護規則和用戶協議，并指定專人負責。

兒童個人信息保護負責人

如果已經設立數據保護官，可以由數據保護官兼任兒童信息保護工作；如果沒有設立數據保護官，至少應指定一人負責，雖不一定要增設新職位。

告知同意

企業收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意。除了要求更正和刪除的權利行使外，其余只能由監護人同意，兒童不行。120要求刪除必須刪除； 停止運營時必須刪除并將情況告知監護人。

征得同意時，應同時提供拒絕選項 ，并明確告知以下內容：

處理121兒童個人信息的目的、方式、范圍；

兒童個人信息存儲的地點、期限和到期后的處理方式；

針對兒童個人信息的敏感性采取的特別安全保障措施；

拒絕的后果；

投訴、舉報的渠道和方式；

更正、刪除兒童個人信息的途徑和方法；

兒童個人信息的敏感性與注意事項；

監護人正確履行監護職責，教育引導兒童增強個人信息保護意識和能力的方式；122

其他應當告知的事項。

前款告知內容發生實質性變化的，企業應當再次征得兒童監護人的同意。 因業務需要，確需超出約定的目的、范圍使用的，應再次征得兒童監護人同意。

兒童個人信息存儲要求

加密存儲和傳輸兒童信息；

除非法律有特殊規定或者在隱私政策中明確說明可能的披露場景，不能對特定或者不特定第三方披露兒童信息；

應當保證監護人請求更正或者刪除兒童信息渠道的通暢，且在隱私政策中明確說明更正和刪除途徑；

應當建立應急預案，確保兒童信息發生泄露、損毀、丟失時，可以立即向監管匯報并且通知兒童的監護人；

在線教育 App 網絡日志留存和節目內容留存均有特殊規定。校外培訓在線教育 App 用戶日志必須留存 1 年，長于一般規定 60 日的要求。123培訓內容和培訓數據信息須留存 1 年以上，其中直播教學的影像須

122《信息安全技術 個人信息告知同意指南（征求意見稿）》。

123《教育部等六部門關于規范校外線上培訓的實施意見》。

留存至少 6 個月124。。

訪問控制

企業應當建立單獨的或者在現有訪問控制制度中專門規定涉及兒童信息的內容。對工作人員應當以最小授權為原則，嚴格設定信息訪問權限，控制兒童個人信息知悉范圍。工作人員訪問兒童個人信息的，應當經過兒童個人信息保護負責人或者其授權的管理人員審批，記錄訪問情況，并采取技術措施，避免違法復制、下載兒童個人信息。

向第三方轉移兒童個人信息

企業應自行或者委托第三方機構進行安全評估。委托 第三方處理兒童個人信息的，應對受委托方及委托行為等進行安全評估，簽署委托協議，明確雙方責任、處理事項、處理期限、處理性質和目的等，委托行為不得超出授權范圍。受委托方不得轉委托，應在委托關系解除時及時刪除兒童個人信息。

如何核驗是否為監護人

目前可參考的方案如下（但并非一定是針對業務的最優方案，最優方案需要結合產品及業務的場景具體分析）：如監護人簽署同意書并發送給公司

（是否真的父母不確定）；提問監護人（僅兒童家長才可回答的知識挑戰問題），電話等方式；審核證明文件，如讓監護人通過信用卡、借記卡或在線支付系統等支付小額款項，驗證監護人是成年人（需要避免過度收集信息）；與第三方合作，驗證是否為監護人。實踐中，國外有采用同意書+信用卡支付等方式的。

目前相關國家標準中提出了一些指引性意見，例如：終端或應用僅單獨面向未成年人的，核驗的方式可采取短信驗證、電話驗證、郵箱驗證等合理措施進行。短信內容可參照：“尊敬的用戶您好！這里是 xxxx ，根據國家有關未成年人個人信息保護的要求，收集使用年滿 14 周歲的未成年人的

個人信息前，宜征得該未成年人或其監護人的明示同意 收集不滿 14 周歲的未成年人的個人信息前，應征得其監護人的明示同意。若您是 xxx 的監護人，請回復“ 1 ”，若不是請回復 2” 。本條短信 5 分鐘內容有效。”

若產品或服務為未成年人和監護人提供了不同終端或應用界面的，核驗的方式可直接在監護人終端或應用界面中完成。例如，直接在監護人終端或應用界面中完成。例如，在未成年人的終端或應用界面提示為滿足國家有

關未成年人個人信息保護的要求，需要該未成年人將有關產品或服務的個人信息使用規則等信息告知其監護人，此時該未成年人的終端或應用界面上已生成用于分享給其監護人的超鏈接或二維碼。未成年人可分享超鏈接或二維碼至其監護人，其監護人打開該超鏈接或掃一掃該二維碼之后可以下載或進入監護人專門的終端或應用，該監護人可在該終端或應用界面上確認其是否為該未成年人的監護人；或在監護人界面設置主動開啟未成年人設備的開關，監護人端開與未成年人端通過 WLAN、藍牙、移動網絡完成鑒權和連接的，視為完成驗證等。

十二 . 停止運營

當停止運營時，企業應及時停止繼續收集個人信息，將停止運營的通知以逐一送達或公告的形式通知個人信息主體，并對所持有的個人信息進行刪除。

十三 . 記錄

企業宜建立、維護和更新所收集、使用的個人信息處理活動記錄，記錄 1） 所涉及個人信息的類型、數量、來源(如從個人信息主體直接收集或通過間接獲取方式獲得)；2）根據業務功能和授權情況區分個人信息的處理目的、使用場景，以及委托處理、 共享、轉讓、公開披露、是否涉及出境等情況； 以及 3）與個人信息處理活動各環節相關的信息系統、組織或人員。

延伸閱讀

更多內容 可以點擊下載 360 企業個人信息合規思路與實踐報告 2021. http://github5.com/view/1273進一步學習

聯系我們

DB35-T 1388-2013 地理標志產品 永安金線蓮 福建省.pdf

總結

以上是生活随笔為你收集整理的信息系统自动决策机制的使用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。